TShoot IPSec
На последок хочется сказать пару слов о том, как решать проблемы с IPSec. Процедура-то далеко не тривиальная. При траблшутинге VPN огромную роль играют дебаги. Метод пристального взгляда на конфиг менее надежен – легко пропустить небольшую ошибку. Исключительно ценным инструментом в траблшутинге IPSec является sh crypto ipsec sa. Нет, дело даже не в бинарном «поднялось — не поднялось», а в счетчиках, в первую очередь encaps-decaps. Можно пустить непрерывный пинг и наблюдать, какой из счетчиков растет. Большинство проблем удается локализовать именно таким образом. Счетчики вообще не растут? См. куда применен крипто мап и все ли в порядке с ACL. Растут error? Что-то не так с согласованием, см. дебаг. Растут encaps, но нет decaps? Вперед изучать противоположную сторону туннеля, тут все хорошо.
Last updated